El documento describe los conceptos básicos de dominios en Windows Server, incluyendo servicios de directorio y dominios, elementos del servicio de directorio como dominios, unidades organizativas y bosques, funciones de servidores de dominio y miembros, y la estructura lógica y física de dominios y bosques.
El documento describe los conceptos básicos de dominios en Windows Server, incluyendo servicios de directorio y dominios, elementos del servicio de directorio como dominios, unidades organizativas y bosques, funciones de servidores de dominio y miembros, y la estructura lógica y física de dominios y bosques.
El documento describe los conceptos básicos de dominios en Windows Server, incluyendo servicios de directorio y dominios, elementos del servicio de directorio como dominios, unidades organizativas y bosques, funciones de servidores de dominio y miembros, y la estructura lógica y física de dominios y bosques.
El documento describe los conceptos básicos de dominios en Windows Server, incluyendo servicios de directorio y dominios, elementos del servicio de directorio como dominios, unidades organizativas y bosques, funciones de servidores de dominio y miembros, y la estructura lógica y física de dominios y bosques.
Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
Descargar como pptx, pdf o txt
Está en la página 1de 239
UT 2.
Gestión de dominios en Windows
Server
“Una manera de hacer Europa”. Cofinanciación a
cargo del Programa Operativo del FSE 2014-2020 para Extremadura gastos de Ciclos Formativos de SOR - Francisco Javier Rufo Grados Medio y Superior. 1. Conceptos básicos de dominios 1. Servicio de directorio y dominio. 2. Elementos del servicio de directorio. 3. Funciones del dominio. 4. Objetos que administra un dominio. 5. Creación de agrupaciones de elementos: Nomenclatura. 6. Estructura. 7. Esquema.
SOR - Francisco Javier Rufo
1.1. Servicio de directorio y de dominio ● Un directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la red y un servicio de directorio proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de los administradores y los usuarios de la red.
SOR - Francisco Javier Rufo
● Características: ○ Modelo de nombres jerárquico: Se usa el modelo de contenedor para reducir ambigüedad entre nombres y simplificar la administración. Los nombres de los objetos forman un árbol. ○ Capacidades de búsqueda extendidas: DS proporcionan capacidades de búsqueda robustas, permitiendo búsquedas en atributos individuales de los elementos. ○ Modelo de información distribuida. ○ Datos replicados: Los directorios soportan replicación, lo que hace los sistemas más accesibles y resistentes a los fallos. ○ Esquema extensible: El esquema describe los datos almacenados en el directorio. Normalmente, los DS permiten la extensión del esquema, por lo que nuevos tipos de datos pueden ser añadidos al directorio. SOR - Francisco Javier Rufo 1.2. Elementos del servicio de directorio ● Dominio: Estructura fundamental. Permite agrupar todos los objetos que se administran de forma estructurada y jerárquica. ● Unidad organizativa (OU): Unidad jerárquica inferior al dominio. Puede estar compuesta por objetos y otras OU. ● Árbol (Tree). El árbol consiste en dominios de un bosque que comparten un espacio de nombres DNS contiguo. ● Bosque (Forest). Un bosque se compone de uno o más dominios, los cuales comparten una configuración común, esquema y Catálogo Global. ● Objetos: Representación de un recurso de red (equipos, usuarios, directivas de seguridad, etc.). Contiene atributos que lo definen. SOR - Francisco Javier Rufo 1.3. Funciones del directorio Los equipos que funcionan como servidores en un dominio pueden tener una de las funciones siguientes: servidor miembro o controlador de dominio. Un servidor que no se encuentre en ningún dominio es un servidor independiente. ● Servidores miembro: Es un equipo que: ○ Pertenece a dominio. ○ No es controlador de dominio. ○ No precisa inicios de sesión. ○ Suelen operar como: servidores de ficheros, de aplicaciones, bases de datos, web, certificados, seguridad, etc. ● Controladores de dominio: ○ Almacena copia de lectura y escritura de la base de datos del dominio. ○ Autentica usuarios.
SOR - Francisco Javier Rufo
1.4. Objetos que administra un dominio ● Usuario: Usuario de la red. Funciona como almacén de información de identificación y autenticación. ● Equipo: Representa un equipo de la red y proporciona la cuenta de máquina necesaria para que el sistema inicie sesión en el dominio. ● Grupo: Objeto contenedor que representa un agrupación lógica de usuarios, equipos y otros grupos que es independiente de la estructura del árbol del dominio.
SOR - Francisco Javier Rufo
● Unidad organizativa: Contenedor utilizado para crear agrupaciones lógicas de equipo, usuario y grupo. ● Contacto: Usuario externo al dominio para propósitos específicos como el envío de correo electrónico. No contiene credenciales para iniciar sesión en el dominio. ● Carpeta compartida: Proporciona acceso de red a una carpeta del sistema. ● Impresora compartida: Proporciona acceso de red a una impresora compartida. SOR - Francisco Javier Rufo 1.5. Creación de agrupaciones de elementos: Nomenclatura
● Cada elemento está representado por un nombre ,
denominado «Nombre Distinguido (DN)», que identifica al objeto dentro del dominio. El «Nombre Distinguido Relativo (RDN)» identifica al objeto dentro de su contenedor. ● Los elementos se nombran añadiendo el nombre del objeto, seguido del nombre de los contenedores de forma ascendente.
SOR - Francisco Javier Rufo
● CN=Fernando Pérez, OU=Ventas, OU=Finanzas, DC=MiEmpresa ● CN = Common Name (Nombre del objeto dentro del contenedor) ● OU = Unidad Organizativa. ● DC = Domain Component (dominio). SOR - Francisco Javier Rufo LDAP ● LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP también se considera una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas. ● Habitualmente, almacena la información de autenticación (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc.). A manera de síntesis, LDAP es un protocolo de acceso unificado a un conjunto de información sobre una red. ● Implementaciones: ○ OpenLDAP ○ Active Directory ○ Apache Directory Server ○ …
SOR - Francisco Javier Rufo
1.6. Estructura Estructura lógica ● Permite localizar recurso por su nombre y no por localización física. ● Dominio: Unidad central de la estructura. Equipos que comparten la base de datos del servicio de directorio y se administran de forma conjunta. ● Representa límite para autenticación, replicación y políticas o directivas. ● Debe ser único y debe ser registrado en DNS. ● En una red puede haber varios dominios. SOR - Francisco Javier Rufo ● Unidades organizativas: Contenedores que permiten ordenar los recursos dentro de un dominio. ● Sólo contienen objetos que pertenecen al dominio. ● Permiten agrupar objetos similares y establecer políticas de seguridad o configuraciones. • Miembros centro (UO) • Profesores (UO) • ESO (UO) • Tutor1 • Bachillerato (UO) • Prof1 • Prof2 • Ciclos (UO) • ProfA • Alumnos (UO)
SOR - Francisco Javier Rufo
● Árbol de dominio: Agrupación de uno o más dominios que comparten espacio de nombres continuo. ● Nombre de dominio secundario es el nombre relativo al dominio agregado al nombre principal ● Ejemplo: ○ aso.es win.aso.es, lin.aso.es, clase.aso.es…. ● Dominios del árbol comparten esquema común y catálogo global y se conectan por relaciones de confianza. ● Creación de nuevo dominio crea árbol dominio principal del árbol. SOR - Francisco Javier Rufo ● Bosques de dominio: Posee un único dominio raíz que es el primer dominio creado. ● Nombres pueden ser discontinuos o continuos: ○ Continuos: Mismo árbol de dominio. ○ Discontinuo: Varios árboles de dominio. ● Un único dominio forma árbol y bosque.
SOR - Francisco Javier Rufo
smr.es
asir.es
segundo. dns.asir. smr.es es
SOR - Francisco Javier Rufo
Estructura física ● Controlador de dominio: Almacena la copia del directorio de dominio. Puede haber varios controladores, cada uno con una copia completa. ● Cambios en un controlador se replican al resto. ● Administran todas las facetas de interacción de los usuarios en el dominio. ● Replicación por frecuencia con modelo multimaestro: ○ Ningún controlador es el maestro, todos son iguales. ○ Cualquier servidor puede procesar cambios y replicar. ● Replicación Tolerancia a fallos SOR - Francisco Javier Rufo ● Sitio: Agrupación de equipos conectados físicamente. ● Independiente de la lógica de dominio. ● No confundir con dominio: ○ Dominio: Agrupación lógica de usuarios y equipos. ○ Sitio: Agrupación física de equipos. ● Debemos tener al menos un controlador en cada sitio.
SOR - Francisco Javier Rufo
● Almacén de datos: Información sobre objetos del dominio (cuentas usuario, grupos, equipos, etc.). ● Replicación multimaestro. ● Catálogo global: Almacén central de información de los objetos del directorio de los dominios del bosque. ● Contiene copia completa de todos los objetos. ● Predeterminado Primer controlador de dominio creado se crea en catálogo global y es servidor de catálogo global. ● Funciones: ○ Resuelve búsquedas de información ○ Resuelve nombres principales de usuario de otros dominios del bosque ○ Información sobre grupos universales ○ Valida referencias a objetos de otros dominios del bosque ○ Responde preguntas sobre objetos de cualquier dominio del bosque SOR - Francisco Javier Rufo 1.7. Esquema ● Define los objetos y tipos de datos que se pueden almacenar en el directorio. ● Definiciones: ○ Clase: Describe las características de los objetos del directorio. Colección de atributos ○ Atributos ● Se almacena como un objeto del directorio ● Proporciona clases y atributos por defecto ● Es ampliable
SOR - Francisco Javier Rufo
2. Gestión de dominios con Windows Server ● Instalación de un servicio de directorio. ● Configuración básica. ● Conexión de clientes a dominio. ● Herramientas de administración de dominio. ● Controlador de dominio replicado ● Relaciones de confianza entre dominios. ● Árboles de dominio y bosques. ● Degradación y eliminación de dominios.
SOR - Francisco Javier Rufo
2.1. Instalación de un servicio de directorio ● Antes de comenzar: ○ Servidor debe tener IP fija. ○ Establecer nombre para equipo servidor
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 2.2. Configuración básica ● Cuando añadimos el rol de Servicio de Directorio, se llevan a cabo algunas elecciones que permiten influir en la configuración del directorio. ● A continuación veremos algunas de ellas.
SOR - Francisco Javier Rufo
● Operación de implementación: ○ Agregar un controlador de dominio a un dominio existente: Permite establecer un dominio replicado. ○ Agregar un nuevo dominio a un bosque existente: Permite añadir un dominio nuevo en uno de los árboles del bosque. ○ Agregar un nuevo bosque: Permite crear un bosque nuevo, siendo el dominio indicado el dominio raíz.
SOR - Francisco Javier Rufo
● Nivel funcional del nuevo bosque y dominio: Los niveles funcionales determinan las capacidades de dominio o bosque de Servicios de dominio de Active Directory (AD DS) que están disponibles. También determinan los sistemas operativos Windows Server que se pueden ejecutar en los controladores de dominio del dominio o del bosque. Sin embargo, los niveles funcionales no afectan a los sistemas operativos que se pueden ejecutar en las estaciones de trabajo y los servidores miembros que están unidos al dominio o al bosque. Conviene establecerlos a los niveles más altos posibles. ● Servidor de DNS: Permite crear la infraestructura DNS del bosque durante la instalación de AD DS. No marcarla si tenemos previsto que este servidor sea servidor DNS por tenerlo en otro equipo. SOR - Francisco Javier Rufo ● Catálogo global: El catálogo global es el conjunto de todos los objetos de un bosque de los Servicios de dominio de Active Directory (AD DS). Un servidor de catálogo global es un controlador de dominio que almacena una copia completa de todos los objetos del directorio para su dominio host y una copia parcial de solo lectura de todos los objetos del resto de dominios del bosque. Los servidores del catálogo global responden a las consultas del catálogo global. ● Controlador de dominio de sólo lectura (RODC):Un controlador de dominio de sólo lectura (RODC) es un nuevo tipo de controlador de dominio. Con un RODC, las organizaciones pueden implementar fácilmente un controlador de dominio en ubicaciones en las que no se puede garantizar la seguridad física. Un RODC hospeda particiones de sólo lectura de la base de datos de Servicios de dominio de Active Directory. Salvo las contraseñas de cuenta, un RODC contiene todos los objetos y atributos de Active Directory que se guardan en un controlador de dominio de escritura. No obstante, no se pueden efectuar cambios en la base de datos almacenada en el RODC. Los cambios deben efectuarse en un controlador de dominio de escritura y después deben volver a replicarse en el RODC.Las aplicaciones locales que solicitan acceso de lectura al directorio pueden obtenerlo. Las aplicaciones del Protocolo ligero de acceso a directorios (LDAP) que solicitan acceso de escritura reciben una respuesta de referencia a LDAP, que les dirige a un controlador del dominio de escritura, normalmente ubicado en un sitio concentrador.
SOR - Francisco Javier Rufo
2.3. Conexión de clientes ● Antes de empezar: ○ Los equipos tienen conectividad entre ellos. ■ IP fija ■ Servidor DHCP externo ■ Servidor DHCP Virtualbox ■ …. ○ El cliente tiene como servidor DNS la IP del controlador de dominio.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 2.4. Herramientas de administración de dominios
SOR - Francisco Javier Rufo
2.4.1.Backup de Active Directory ● La característica “Copias de seguridad de Windows Server” debe estar instalada. ● Utilizar la herramienta “Copias de seguridad de Windows Server”.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo Backup ● Podemos realizar una copia de seguridad normal (“Hacer copia de seguridad”) o programada (“Programar copia de seguridad”). ● Para copia normal: ○ Seleccionar “Copia de seguridad local” “Hacer copia de seguridad”. ○ Seleccionar “Personalizada” para elegir sólo los datos de interés. ○ Agregar los elementos que deseemos. ■ Estado del sistema. ○ Seleccionar dónde deseamos almacenar la copia de seguridad (no puede ser una unidad que contiene datos a salvaguardar). SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo Restaurar ● Existen 2 opciones: ○ No autoritativa: El controlador contacta con otros controladores para obtener las actualizaciones desde la fecha del backup. ○ Autoritativa: La información del controlador restaurado será replicada a los demás.
SOR - Francisco Javier Rufo
● Al iniciar el sistema, presionar F8 y seleccionar “Menú de opciones avanzadas de Windows” “Directory Services Repair Mode”. ● Iniciar sesión con el Administrador local (el controlador de dominio no estará disponible). ● Ir a “Herramientas” “Copias de seguridad de Windows Server”. ● Seleccionar “Recuperar” y elegir la ubicación de la copia de seguridad. ● Seleccionar “Estado del sistema”. ● Seleccionar ubicación donde se desea restaurar. ○ Indicar si deseamos realizar una restauración autoritativa. SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 2.4.2. Administración de equipos ● Permite administrar y configurar opciones básicas del controlador de dominio. ● Permite administrar: ○ Usuarios y grupos locales (desaparecen al crear dominio). ○ Almacenamiento. ○ Recursos compartidos. ○ Tareas programadas. ○ ….
SOR - Francisco Javier Rufo
● Herramientas del sistema: ○ Programador de tareas: Permite programar la ejecución de tareas. ○ Visor de eventos: Permite analizar el comportamiento del sistema y los diferentes sucesos que se producen. ○ Carpetas compartidas: Recursos compartidos en el equipo. ○ Rendimiento: Recursos consumidos por el equipo. ○ Administrador de dispositivos: Permite gestionar el HW del equipo.
SOR - Francisco Javier Rufo
● Almacenamiento: Permite gestionar el almacenamiento del equipo. ● Servicios y aplicaciones: Gestiona los servicios que se están ejecutando en el equipo.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo 2.4.3. DNS ● AD se basa en DNS para su funcionamiento. ● Permite gestionar el servicio de DNS. ● En caso de no existir DNS ya implantado, AD realiza la instalación y configuración del rol.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo 2.4.4. Dominios y confianzas de AD ● Permite establecer las relaciones de confianza. ● Útil cuando tenemos diferentes dominios y deseamos administrarlos desde uno, de forma centralizada. ● Varios dominios se administran como uno sólo.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo 2.4.5. Usuarios y equipos AD ● Permite administrar: ○ Usuarios y grupos ○ Equipos del dominio ○ Unidades organizativas ○ Recursos compartidos ○ Impresoras ○ …. ● Elementos pertenecientes al dominio.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo 2.4.6. Centro de administración de AD ● Permite administrar objetos del directorio. ● Basado en PowerShell, permite administrar objetos mediante navegación controlada por datos y navegación orientada por tareas. ● Algunas tareas: ○ Crear nuevas cuentas de usuario o administrar las cuentas de usuario existentes. ○ Crear grupos nuevos o administrar los grupos existentes. ○ Crear nuevas cuentas de equipo o administrar las cuentas de equipo existentes. ○ Crear nuevos contenedores y unidades organizativas (OU) o administrar las OU existentes. ○ Conectar uno o varios dominios o controladores de dominio en la misma instancia del Centro de administración de Active Directory, y ver o administrar la información de directorio de dichos dominios o controladores de dominio. ○ Filtrar datos de Active Directory con la función de búsqueda mediante generación de consultas SOR - Francisco Javier Rufo ● Control de Acceso Dinámico (DAC) ○ Característica nueva aparecida en Windows 2012. ○ Permite personalizar la autorización para acceder a los recursos de servidores aplicando lógica condicional en base a peticiones de los usuarios/dispositivos y etiquetas de metadatos. ○ Antes se basaban en los permisos NTFS, ahora nos podemos basar en propiedades de recursos y peticiones.
SOR - Francisco Javier Rufo
● Autenticación: ○ Authentication Policies: Define las propiedades del tiempo de vida del protocolo de ticket de cesión de tickets (TGT) y las condiciones de control de acceso de cuentas tipo. ○ Authentication Policy Silos: Controla qué cuentas pueden ser restringidas por el silo y define las políticas de autenticación de los miembros.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo 2.5. Controlador de dominio replicado ● No existe DC primario y secundario Todos son principales, reciben cambios y los aplican a los pares. ● Replicación en dos canales: ○ Canal DFSR: ■ Para la replicación se utiliza DFSR (Distributed File Systems Replication). ■ Se replica la información almacenada en SYSVOL y NETLOGON. ○ Canal RPC: ■ Replica la DB (NTDS.DIT).
SOR - Francisco Javier Rufo
1. Partimos de la existencia de un DC ya preparado. 2. En el servidor que albergará la réplica, instalamos el rol de Active Directory. 3. Los servidores tienen conectividad (están en misma red, el nuevo tiene acceso a DNS del existente, etc.). 4. Al promover, seleccionar “Agregar controlador de dominio a un dominio existente”. ○ Indicar dominio y credenciales. 5. Indicar desde qué DC se replicará a éste, junto con otras opciones de configuración. SOR - Francisco Javier Rufo DC existente
SOR - Francisco Javier Rufo
Replicación
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 2.6. Relaciones de confianza entre dominios ● Relación de confianza facilita a los usuarios de un dominio el acceso a los recursos de otro diferente. ● El dominio que confía ofrece los recursos, y el dominio de confianza es donde se autentican los usuarios que accederán a los recursos.
SOR - Francisco Javier Rufo
● Tipos de relaciones: ○ Unidireccional: El dominio B confía en A los usuarios de A podrán acceder a los recursos de B, pero no a la inversa. ○ Bidireccional: B confía en A y viceversa. ○ Transitiva: A confía en B, y B confía en C los usuarios de C pueden tener acceso a los recursos de A. ● Al crear relaciones de confianza, hay que configurarlas en ambos lados.
SOR - Francisco Javier Rufo
● Cada relación de confianza se representa con un Objeto de Dominio de Confianza (TDO, Trusted Domain Object), que, como mínimo, incluye: ○ La transitividad. ○ La direccionalidad de la confianza. ○ Nombre de los dominios recíprocos.
SOR - Francisco Javier Rufo
● Tipos de confianza: ○ Externa: Relaciones no transitivas unidireccionales o bidireccionales. Para dominios que no estén unidos por una confianza de bosque. ○ Dominio Kerberos: Permite establecer relaciones entre dominios Windows 2012 R2 y dominios que no sean Windows pero que usen Kerberos. Pueden ser transitivas o no, unidireccionales o bidireccionales. ○ De bosque: Permiten compartir recursos entre diferentes bosques. Son transitivas, y pueden ser uni o bidireccionales. ○ Directa: Para mejorar el inicio de sesión entre dos dominios de árboles diferentes de un bosque. Son transitivas y pueden ser uni o bidireccionales. SOR - Francisco Javier Rufo 2.7. Árboles de dominio y bosques
SOR - Francisco Javier Rufo
Agregar un subdominio 1. Establecer configuración de red del nuevo servidor de forma que tenga conectividad con el controlador de dominio principal. 2. Agregar el rol “Servicios de dominio de Active Directory”. 3. A la hora de promocionar el dominio: 1. Seleccionar la opción “Agregar un nuevo dominio a un bosque existente”. 2. En tipo de dominio, seleccionar “Dominio secundario”. 3. Introducir el dominio principal y el nombre del nuevo dominio. 4. Resto de opciones son similares a las de creación de un bosque nuevo.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● En este caso, las relaciones de confianza se crean de forma automática.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo Agregar un nuevo árbol 1. Establecer configuración de red del nuevo servidor de forma que tenga conectividad con el controlador de dominio principal. 2. Agregar el rol “Servicios de dominio de Active Directory”. 3. A la hora de promocionar el dominio: 1. Seleccionar la opción “Agregar un nuevo dominio a un bosque existente”. 2. En tipo de dominio, seleccionar “Dominio de árbol”. 3. Introducir el nombre del bosque (primer dominio creado) y el nombre del nuevo dominio. 4. Resto de opciones son similares a las de creación de un bosque nuevo.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 2.8. Degradación y eliminación de dominios ● Al eliminar DA de un DC, sólo se perderá toda la información almacenada cuando el DC es el último. 1. Administrar Quitar roles y funciones. 2. Deseleccionar “Servicios de dominio de AD” 3. Al mostrar error durante el proceso de validación, hacer clic en “Disminuir el nivel de este controlador de dominio”. 4. Indicar que se trata del último controlador de dominio, si necesario, y seleccionar la eliminación del controlador de dominio. SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 3. Cuenta de usuario y grupo en sistemas Windows
SOR - Francisco Javier Rufo
3.1. Creación de cuenta de usuario ● Usaremos la herramienta Usuarios y Equipos de Active Directory. ● Herramientas Usuarios y equipos de Active Directory
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Haciendo clic derecho sobre “Users”, seleccionamos NuevoUsuario y rellenamos los datos.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Una vez introducidos los datos identificativos del usuario, se solicita la contraseña y diferentes opciones para la cuenta: ○ El usuario debe cambiar la contraseña: Cuando el usuario inicia sesión por primera vez, se le obliga a cambiar la contraseña establecida. ○ El usuario no puede cambiar la contraseña. ○ La contraseña nunca expira. ○ La cuenta está deshabilitada: El usuario no podrá iniciar sesión, aunque la cuenta está creada.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 3.2. Modificación de cuenta de usuario ● Haciendo doble clic en el usuario deseado, obtenemos la ventana de propiedades.
SOR - Francisco Javier Rufo
PESTAÑA DESCRIPCIÓN General Datos identificativos del usuario Dirección Dirección física del usuario Cuenta Nombre de inicio de sesión, restricciones de inicio, opciones de contraseña y caducidad, horas de inicio de sesión. Perfil Ruta de acceso al perfil de usuario Teléfonos Teléfonos del usuario Organización Puesto, departamento, etc. Control remoto Grado con el que el administrador puede ver o controlar las sesiones de servicios de terminal del usuario. COM+ Participación del usuario en las particiones de disco. Miembro de Grupos a los que pertenece. Marcado Acceso telefónico remoto del usuario al servidor a través de módem. Entorno Servicios de Terminal Server de Usuario. Sesiones Desconexión y reconexión del servicio de Terminal Server.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 3.3. Creación de cuentas para equipos ● Los equipos se encuentran en el contenedor “Computers”. ● Por defecto, cada equipo que se conecta al dominio es añadido.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo ● Para añadir un equipo, debemos hacer clic con el botón derecho y seleccionar “NuevoEquipo”.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Haciendo clic derecho sobre un equipo, y seleccionando “Propiedades”, podemos acceder a las propiedades del equipo.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 3.4. Gestión de grupos ● Un grupo de usuarios es una colección de cuentas de usuario que tienen en común los mismos derechos de seguridad. ● Una cuenta de usuario puede ser miembro de más de un grupo.
SOR - Francisco Javier Rufo
● Existen diferentes tipos de grupos: ○ Locales: Son definidos y sólo se utilizan en el equipo local. ○ Seguridad: Pueden tener asociados descriptores de seguridad. ○ Distribución: Grupos utilizados como listas de distribución de correo electrónico. No pueden tener asociados descriptores de seguridad.
SOR - Francisco Javier Rufo
● Los grupos pueden tener ámbitos diferentes (ser válidos en diferentes áreas): ○ Grupos locales de dominio: Utilizados para conceder permisos en un único dominio. Sólo puede incluir cuentas de usuario y grupo del dominio. ○ Grupos globales: Utilizados para conceder permisos a objetos en cualquier dominio del árbol o bosque de dominios. Sólo se pueden incluir cuentas y grupos del dominio en el que están definidos. ○ Grupos universales: Utilizados para conceder permisos a gran escala a lo largo de un árbol o bosque de dominios. Se pueden incluir cuentas de usuario, grupos globales y otros grupos universales de cualquier dominio del árbol o bosque de dominios en el que están definidos. SOR - Francisco Javier Rufo ● Utilizamos la herramienta “Usuarios y equipos Active Directory”. ● Haciendo clic derecho en el contenedor deseado, seleccionamos “NuevoGrupo”.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo ● Tras rellenar los datos correspondientes, el grupo queda creado.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo ● Haciendo clic derecho sobre el grupo, y seleccionando la opción “Propiedades” podemos configurar las diferentes opciones del grupo. ○ General: Permite cambiar las opciones generales del grupo. ○ Miembros: Permite definir los usuarios/grupos que conforman el grupo. Pulsando sobre el botón “Agregar” añadimos los usuarios/grupos al grupo. ○ Miembro de: Permite indicar los grupos a los que pertenece.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 3.5. Tipos y ámbitos
SOR - Francisco Javier Rufo
Ámbitos ● El ámbito de un grupo establece su alcance, es decir, en qué partes de la red puede utilizarse, y el tipo de cuentas que pueden formar parte de él. En ese sentido, pueden pertenecer a una de las siguientes categorías: ○ Ámbito local ○ Ámbito global ○ Ámbito universal
SOR - Francisco Javier Rufo
● Ámbito local: Entre sus miembros pueden encontrarse uno o varios de los siguientes tipos de objetos: ○ Cuentas de usuario o equipo. ○ Otros grupos de ámbito local. ○ Grupos de ámbito global. ○ Grupos de ámbito universal. ● Las cuentas o grupos contenidos tendrán necesidades de acceso similares dentro del propio dominio. Por ejemplo, los que necesiten acceder a una determinada impresora.
SOR - Francisco Javier Rufo
● Ámbito global: Sólo pueden incluir otros grupos y cuentas que pertenezcan al dominio en el que esté definido el propio grupo. ● Los miembros de este tipo de grupos pueden tener permisos sobre los recursos de cualquier dominio dentro del bosque. ● Sin embargo, estos grupos no se replican fuera de su propio dominio, de modo que, la asignación de derechos y permisos que alberguen, no serán válidas en otros dominios del bosque. SOR - Francisco Javier Rufo ● Ámbito universal: Entre sus miembros pueden encontrarse cuentas o grupos de cualquier dominio del bosque, a los que se les pueden asignar permisos sobre los recursos de cualquier dominio del bosque.
SOR - Francisco Javier Rufo
Tipos de grupos ● Existen dos tipos de grupos en Active Directory: ○ Grupos de distribución ○ Grupos de seguridad
SOR - Francisco Javier Rufo
● Grupos de distribución: Se utilizan en combinación con programas como Microsoft Exchange Server, para crear listas de distribución de correo electrónico. ● Estos grupos no disponen de características de seguridad, por lo que no pueden aparecer en las listas de control de acceso discrecional (DACL, Discretionary Access Control Lists).
SOR - Francisco Javier Rufo
● Grupos de seguridad: Permiten asignar permisos a las cuentas de usuario, de equipo y grupos sobre los recursos compartidos. Con los grupos de seguridad podemos: ○ Asignar derechos de usuario a los grupos de seguridad del Directorio Activo. De esta forma, podemos establecer qué acciones pueden llevar a cabo sus miembros dentro del dominio (o del bosque). Como veremos después, durante la instalación del Directorio Activo, se crean grupos de seguridad predeterminados que facilitan al administrador la delegación de ciertos aspectos de la administración (como, por ejemplo, las copias de seguridad) en otros usuarios del sistema. ○ Asignar permisos para recursos a los grupos de seguridad. Lo que nos permite definir quién accede a cada recurso y bajo qué condiciones (control total, sólo lectura, etc.) También se establecen permisos de forma predeterminada sobre diferentes objetos del dominio para ofrecer distintos niveles de acceso.
SOR - Francisco Javier Rufo
3.6. Usuarios y grupos predeterminados del sistema
● Windows Server instala usuarios y grupos predeterminados para
proporcionar configuraciones básicas. ● Se crean 3 tipos de cuentas: ○ Integradas: Cuentas de usuario y grupo instaladas con el SO, aplicaciones y servicios. ■ LocalSystem: Utilizada para ejecutar procesos del sistema y administrar tareas. ■ LocalService: Para ejecutar servicios que necesitan privilegios y derechos de inicio de sesión adicionales en un sistema local. ■ NetworkService: Para ejecutar servicios que necesitan privilegios y derechos de inicio de sesión adicionales en un sistema local y en la red. SOR - Francisco Javier Rufo ○ Predefinidas: Cuentas de usuario y grupo instaladas con el SO. ■ Administrador: Acceso total. No se puede eliminar ni deshabilitar. ■ ASPNET: Permite ejecutar procesos temporales ASP.NET. ■ Guest: Para usuarios que necesitan acceder de forma ocasional al sistema. ■ Support: Tiene derecho a iniciar sesión como tarea por lotes. ○ Implícitas: Los grupos especiales creados implícitamente al acceder a los recursos de red; también conocidas como identidades especiales.
SOR - Francisco Javier Rufo
4. Unidades organizativas ● Las Unidades Organizativas (en inglés, Organizational Units o, simplemente, OUs) son contenedores del Directorio Activo que pueden contener usuarios, equipos, grupos y otras unidades organizativas. ● A una Unidad Organizativa le podemos otorgar valores de configuración de directiva de grupo o podemos delegar sobre ella una parte de la autoridad administrativa. De esta forma, un usuario puede tener autoridad para administrar una determinada unidad organizativa y no tenerla para el resto. Esto quiere decir que podemos definir contenedores que representen la organización lógica de nuestra red. SOR - Francisco Javier Rufo Creación de Unidad Organizativa ● Dentro del contenedor deseado, hacer clic derecho y seleccionar “NuevoUnidad organizativa”. ● Podemos crear UOs dentro de otras.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo Desplazar objetos entre UOs ● Basta con arrastrar el elemento de su origen a la nueva UO. ● También podemos seleccionar los elementos, hacer clic derecho y seleccionar “Mover”.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo Eliminar UO ● Seleccionar la UO, hacer clic derecho y seleccionar “Eliminar”.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Si hemos seleccionado la protección contra eliminado accidental, se nos mostrará un mensaje de error.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo ● Para eliminar la UO, deberemos activar las características avanzadas en “VerCaracterísticas avanzadas”
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Ahora, haremos clic derecho en la UO deseada y seleccionaremos “Propiedades”. ● En la pestaña “Objeto”, desmarcaremos la casilla “Proteger objeto contra eliminación accidental”. ● Ahora ya podremos eliminar normalmente la UO.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo